Seit Einführung des Hinweisgeber:innenschutzgesetzes (HSchG) haben viele Unternehmen bereits Meldekanäle und die dazugehörige sogenannte interne Stellen implementiert. Diese interne Stelle nimmt die Hinweise entgegen und baut idealerweise bereits die Kommunikation zur hinweisgebenden Person auf. Je nach Unternehmen ist die interne Stelle in unterschiedlichen Abteilungen angesiedelt.
Ganz unabhängig, welche Compliance Strukturen Sie in Ihrem Unternehmen aufweisen und wo die interne Stelle angesiedelt ist, kann es vorkommen, dass Sie in der internen Revision als dritte Verteidigungslinie (third line of defense) beauftragt werden, eine Sonderprüfung über einen eingegangenen Hinweis durchzuführen.
Diese Situationen sind nie vorhersehbar. Und dennoch sollte in den meisten Fällen rasch gehandelt werden. In diesem Artikel erfahren Sie die wichtigsten Schritte, die bei Sonderprüfungen beachtet werden sollen.
Durchführung eines Pre-Checks
Bevor eine Sonderprüfung geplant wird, sollte überprüft werden, ob der Hinweis genügend Anhaltspunkte für eine Prüfung enthält – ein sogenannter Pre-Check. Diese Überprüfung kann bereits durch die interne Stelle durchgeführt werden.
Beachten Sie: Ob der Hinweis in den Bereich des HSchG fällt, muss unbedingt im Vorfeld durch die interne Stelle analysiert werden. Denn gemäß § 7 Abs. 1 HSchG ist die Identität der hinweisgebenden Person durch die interne Stelle zu schützen. Das bedeutet, dass jegliche Informationen, aus denen die Identität von Hinweisgeber:innen direkt oder indirekt abgeleitet werden, geschützt werden müssen. Fällt der Hinweis in die Anwendung des HSchG, muss die interne Stelle die Überprüfung durchführen, oder beispielsweise den Hinweis dementsprechend anonymisieren, dass die Identität der hinweisgebenden Person geschützt ist.
Unabhängig davon, ob der Hinweis in den Bereich des HSchG fällt, ist es empfehlenswert jeden Hinweis entgegenzunehmen und einen Pre-Check durchzuführen. Angenommen der Hinweis lautet über mögliche Diskriminierungsvorfälle oder Prozesslücken in der Zahlungsabwicklung und das HSchG findet in erster Linie keine Anwendung: Der Hinweis ist ein Indiz für ein potenzielles Risiko in Form von finanziellen Verlusten oder Reputationsschäden und sollte definitiv überprüft werden. Gemäß der aktuellen Global Internal Audit Standards verbessert die Interne Revision die Organisation in den Governance-, Risikomanagement- und Kontrollprozessen. Dies setzt voraus, dass die Interne Revision gemäß Standard 9.1. die Governance-, Risikomanagement- und Kontrollprozessen versteht und dementsprechend handelt, sofern Risiken identifiziert werden.
Kontakt zur hinweisgebenden Person aufbauen
Hat der Pre-Check genügend Anhaltspunkte für eine Prüfung ergeben, sollte im nächsten Schritt Kontakt zur hinweisgebenden Person aufgenommen werden. Je nach Meldekanal und Hinweiseingang, gibt es hier unterschiedliche Möglichkeiten.
Wichtig ist, dass der Fokus auf dem Vertrauensaufbau liegt. Hinweisgebende Personen sind oft unsicher und befinden sich in einer unangenehmen Situation. Zeigen Sie Empathie und klären Sie über den Prozess und den weiteren Schritten auf. Hinweisgeber:innen sind oft Mitarbeiter:innen und kennen die Prozesse sehr gut. Dadurch identifizieren sie auch die Schwachstellen, welche zur Meldung führen. Erfahrungsgemäß verlaufen Prüfungen effizienter und sind weniger zeitintensiv, wenn die hinweisgebende Person bei der Sachverhaltsaufklärung mitwirkt, indem sie für Fragen zur Verfügung steht.
Passende Prüfstrategie wählen
Ein essenzieller Punkt ist die Wahl der Prüfstrategie. Je nach Sachverhalt und Dringlichkeit, kann beispielsweise der Hinweis im Rahmen einer Prozessprüfung überprüft werden. Ergeben die Anhaltspunkte einen umfangreicheren Sachverhalt, sollte eine eigene Sonderprüfung angelegt und durchgeführt werden.
Unabhängig davon, sollte die involvierten Prozesse mit überprüft werden. Dies kann bereits im Rahmen der Sonderprüfung oder als separate Prüfung zu einem späteren Zeitpunkt erfolgen.
Beachten Sie auch, dass Sie je nach Sachverhalt gegebenenfalls weitere Abteilungen involvieren. Vor allem der Datenschutz, aber auch arbeitsrechtliche Vorgaben müssen durchgehend eingehalten werden. In diesem Schritt sollte das Need-to-know-Prinzip berücksichtigt werden. Dieses Prinzip besagt, dass die Anzahl an Personen, die über die Sachverhaltsaufklärung informiert werden, so gering wie möglich gehalten werden muss und nur diejenigen Personen darüber erfahren, die direkt mit der Aufarbeitung in Verbindung stehen.
Als Best Practice gilt ein intern implementierter und kommunizierter Prozessablauf, welcher mit den jeweiligen involvierten Abteilungen abgestimmt ist.
In diesem Zusammenhang sollte auch die Unternehmenskultur erwähnt werden. Erfahrungsgemäß lassen sich viele Risiken fristgerecht abfangen, wenn eine offene Gesprächskultur bzw. eine sogenannte Speak-up-Kultur im Unternehmen gelebt wird. Auch hier kann die Revision mitwirken, indem diese Aspekte im Prüfungsumfang involviert werden. Die Unternehmenskultur ist auch Teil des Risikomanagements, wenn dadurch eine Speak-up Kultur gelebt wird, welche das Risiko verringert, dass Mitarbeiter:innen die Themen intern nicht ansprechen oder eventuell sogar nach außen tragen.
Informationen über Prozesse einholen
Unabhängig, ob Whistleblower:innen bei der Sachverhaltsaufklärung mitwirken, sollten Sie sich im Vorfeld über die involvierten Prozesse informieren. Wenn beispielsweise ein Vorfall über die Manipulation von Ausschreibungsverfahren gemeldet wird, sollten Informationen über die Vorgaben für das Ausschreibeverfahren eingeholt werden.
Die eingeholten Informationen über die involvierten Prozesse dienen dazu, in erster Linie zu überprüfen, ob es Sicherheitslücken gibt, die eine mögliche Manipulation bzw. ein mögliches Fehlverhalten begünstigen könnten. Darüber hinaus ist es eine Absicherung für die interne Revision, für den Fall, dass die Whistleblower:innen nicht an der Sachverhaltsaufklärung mitwirken sollten. Gleichzeitig können die geteilten Informationen der hinweisgebenden Person, mit den vorab eingeholten Informationen überprüft werden.
Erfolgt die Meldung anonym, ist nicht bekannt, ob die hinweisgebende Person
- ein/e Mitarbeiter:in,
- jemand außerhalb des Unternehmens oder
- ein/e bereits ausgeschiedene/r Mitarbeiter:in ist.
Daher ist es wichtig, während der Kommunikation mit den Whistleblower:innen keine firmeninternen Informationen preiszugeben.
Wenn Sie sich in anderen Abteilungen über die Prozesse informieren, bedienen Sie sich an bestimmten Fragetechniken, um nicht den Anschein zu erwecken, dass Sie aktuell eine Hinweisüberprüfung planen bzw. durchführen. Beachten sie auch stets die durchgehende Einhaltung von Standards und Regularien, vor allem im Bereich Datenschutz und Arbeitsrecht.
Erfahrene Revisior:innen zeichnen sich dadurch aus, dass sie (sinngemäß) keine Scheuklappen tragen. Das bedeutet, dass sie auch übergelagerte, involvierte Prozesse mit überprüfen. Werden durch die Hinweisüberprüfung weitere Schwachstellen im (übergelagerten) Prozess identifiziert, sollten definitiv auch hier entsprechende Maßnahmen gesetzt werden. Das Ziel besteht nicht nur darin festzustellen, ob der Hinweis bestätigt werden konnte oder nicht, sondern welche Prozesslücken identifiziert werden konnten und wie diese Risiken eliminiert beziehungsweise minimiert werden können.
Durchführung einer neutralen und umfassenden Untersuchung
Jegliche Meldungen sind neutral und unvoreingenommen entgegenzunehmen. Es herrscht eine Unschuldsvermutung, bis der Vorfall bestätigt werden konnte.
Stichwort Interessenskonflikte: Stellen Sie als Prüfungsleitung sicher, dass Ihr Untersuchungsteam aus Personen besteht, für die keine Interessenskonflikte mit dem gemeldeten Vorfall bestehen. Gleichzeitig sollte das Prüfteam auch die nötige Fachkompetenz für die Hinweisüberprüfung aufweisen. In der Praxis kann dies oft eine Herausforderung darstellen, da Sonderprüfungen oft spontan durchgeführt werden müssen und die Prüfteams bereits für Programmprüfungen eingeteilt wurden. In diesen Fällen kann es hilfreich sein, externe Berater:innen zu beauftragen oder gegebenenfalls die Programmprüfung zu pausieren.
Fragen, die Revisor:innen bei Sonderprüfungen im Vorfeld konfrontieren können, sind:
- Wie gehe ich mit der hinweisgebenden Person um?
- Welche Interviewtechniken wende ich an?
- Was gilt es generell zu beachten?
- Wie stelle ich einen neutralen Umgang sicher?
Dazu empfiehlt sich, Revisor:innen für die Durchführung von Sonderprüfungen zu schulen und eine interne Arbeitsanweisung zu erstellen. Darin sollten die oben angeführten Fragen adressiert werden und auch datenschutzrechtliche Informationen abgedeckt werden.
Für Befragungen sollte ein Vier-Augen-Prinzip sichergestellt werden, vor allem beim Gespräch mit der hinweisgebenden und betroffenen Person. Diese Gespräche können für die hinweisgebende, aber auch für die betroffene Person sehr unangenehmen sein. Informieren Sie die Personen daher bereits im Vorfeld, welche Personen beim Gespräch anwesend sind, und stellen Sie sich kurz vor. Zeigen Sie Empathie und denken Sie daran: Es ist eine Befragung und kein Verhör.
Vor allem bei Diskriminierungs- und Belästigungsvorfällen ist es ratsam geschlechtergemischte Teams aufzustellen.
Entsprechende Maßnahmen definieren und Dokumentation sicherstellen
Wurden Sicherheitslücken oder Fehlverhalten identifiziert, folgt nun der Schritt, die entsprechenden Maßnahmen zu definieren. Diese können anhand der SMART-Methode definiert werden. Auch wenn diese Methode in der Managementforschung ihren Ursprung hat, kann sie für die Maßnahmendefinition angewendet werden.
Diese Methode setzt sich aus den fünf Buchstaben SMART zusammen, wobei jeder Buchstabe für eine Bedingung steht (siehe Abbildung).
In Hinblick auf die Maßnahmenformulierung, lassen sich die definierten Maßnahmen wie folgt überprüfen, ob sie wirksam sind:
S: Ist die Maßnahme konkret formuliert, damit die verantwortliche Stelle weiß, was umzusetzen ist?
M: Kann die Umsetzung im Nachgang überprüft werden?
A: Wurde die Maßnahme so definiert, dass sie der Realisierung der Unternehmensziele nicht hinderlich ist und gleichzeitig die Governance Prozesse berücksichtigt?
R: Ist es für die verantwortliche Stelle möglich, die Maßnahme innerhalb der Frist umzusetzen?
T: Ist eine Umsetzungsfrist definiert?
Bedenken Sie: Nach der Prüfung ist vor der nächsten Prüfung. Auch wenn die Maßnahmen innerhalb der definierten Frist umgesetzt wurden, empfiehlt sich je nach Risikograd, dass die Prüfungsleitung die identifizierten Risiken bzw. die daraus formulierten Maßnahmen bei der nächsten Programmprüfung mit aufs Prüfprogramm nimmt. Somit kann eine nachhaltige Risikoreduktion gewährleistet werden.
Je nach Sachverhalt und Feststellung kann eine Fehler-Ursachen-Analyse (engl. Root-Cause Analysis) durchgeführt und im Prüfbericht angehängt werden. Vor allem bei gravierenderen Feststellungen ist diese Methode empfehlenswert. Dabei wird anhand von W-Fragen die Ursache für das Problem oder die Sicherheitslücke analysiert.
Im ersten Schritt wird anhand der 5-W-Fragen das Problem definiert:
• Was ist passiert?
• Wann (oder über welchen Zeitraum) hat es sich ereignet?
• Wo ist es passiert?
• Wie hat sich der Vorfall ereignet?
• Wer oder welche Abteilungen sind daran beteiligt?
Ergänzend sollte noch folgende Fragen gestellt werden
• Welche Auswirkung hat der Vorfall auf die Unternehmensziele?
• Welche Risiken sind mit dem Vorfall verbunden?
Dieser erste Punkt wird oftmals bereits während der Prüfung durchgeführt. Danach wird die Ursache analysiert. Dafür wird mindestens fünf Mal die „Warum-Frage“ gestellt.
Im folgendem wird die Root-Cause-Analyse an einem fiktiven Beispiel angewendet. In dem Beispiel kam es zu einem Serverausfall:
- Warum kam es zu einem Serverausfall?
Weil der Server überlastet ist. - Warum ist der Server überlastet?
Weil zu viele Anfragen gleichzeitig bearbeitet werden müssen. - Warum müssen zu viele Anfragen gleichzeitig bearbeitet werden?
Weil der Datenbankserver langsam reagiert und sich dadurch die Anfragen stauen. - Warum antwortet der Datenbankserver langsam?
Weil die Datenbank nicht effizient optimiert ist. - Warum ist die Datenbank nicht effizient optimiert?
Weil in der letzten Quartalssitzung keine Budgetfreigabe für eine neue Datenbank genehmigt wurde.
In diesem Beispiel ist die Grundursache des Problems, dass die Datenbank nicht effizient optimiert ist. Im dritten und letzten Schritt erfolgt die Formulierung von kurz- und langfristigen Verbesserungsmaßnahmen. Dafür kann wie bereits oben beschrieben, die SMART-Methode angewendet werden.
Das Ergebnis der Sonderprüfung ist der Prüfbericht. Abschließend sollte die Dokumentation nochmals überprüft und sicher aufbewahrt werden. Je nach Sachverhalt, müssen Dokumente anonymisiert werden – halten Sie hier Rücksprache mit dem oder der Datenschutzbeauftragte:n im Ihrem Unternehmen.
Fazit
Zusammenfassend ist es entscheidend, einen klaren, fairen und strukturierten Umgang mit Whistleblower:innen zu gewährleisten. Dafür sind in erster Linie der Meldekanal und ein vorab definierter interne Prozess ausschlaggebend. Sehen Sie Whistleblowing als Chance, um wichtige Informationen für das Unternehmen zu bekommen und risikobehafteten Situationen (noch rechtzeitig) entgegen wirken zu können.